技術 2026年5月14日(木) 更新 約10分 Microsoft 2026年5月Patch Tuesdayの本命はDNS ClientとNetlogonの認証不要RCE、ZeroLogon・SIGRedとの位置づけで読む 5月Patch Tuesdayは137件中Critical 30件、公開悪用ゼロ。確認の中心は認証不要でCVSS 9.8のCVE-2026-41089 Netlogon RCEとCVE-2026-41096 DNS Client RCE。ZeroLogon・SIGRedとの違いとExploitability Index控えめの読み方、優先順位、検出ポイントを整理する。 Microsoft Windows セキュリティ 脆弱性 CVE RCE Active Directory DNS
技術 2026年5月14日(木) 更新 約6分 nginxの18年越しrewrite脆弱性CVE-2026-42945は設定パターン次第で未認証RCEに届く nginx 0.6.27〜1.30.0のrewriteモジュールに18年間残っていたバッファオーバーフロー。CVSS 9.2だが全環境ではなく特定のrewrite設定パターンだけが対象で、nginx -Tによる確認方法も書いた セキュリティ CVE nginx 脆弱性 RCE
技術 2026年5月9日(土) 約6分 PAN-OSのCVE-2026-0300悪用でUser-ID Authentication Portalからroot RCEに到達 PA-Series / VM-SeriesでUser-ID Authentication Portalを公開している環境向け。CVE-2026-0300は国家支援型グループCL-STA-1132がroot RCEを成功、AD列挙とトンネリングまで確認済み。パッチは5月13日以降順次 セキュリティ CVE 脆弱性 RCE ネットワーク
技術 2026年5月9日(土) 約4分 CVE-2026-0073はWireless ADBの証明書比較ミスで隣接ネットワークRCEになる Android 14〜16/16-qpr2のWireless ADBに入ったCVE-2026-0073を、2026年5月のAndroidセキュリティ情報とAOSP差分から確認。EVP_PKEY_cmpの戻り値誤用で、同一LAN付近からshellユーザーのRCEに届く。 Android セキュリティ CVE 脆弱性 RCE
技術 2026年4月17日(金) 約12分 Apache ActiveMQ Jolokia APIのRCE脆弱性CVE-2026-34197がCISA KEV入り、連邦機関に4/30修正期限 13年間コードベースに潜んでいたApache ActiveMQ ClassicのRCE脆弱性CVE-2026-34197がCISA KEVに追加。Jolokia API経由のMBean操作でVMトランスポートとSpring XMLを連結し、リモートコマンド実行に至る。CVE-2024-32114と組み合わせれば未認証RCEとなる。影響は5.19.4未満および6.0.0〜6.2.2。 Security Apache ActiveMQ CVE CISA RCE Java Spring
技術 2026年4月14日(火) 約6分 ShowDocのファイルアップロードRCE(CVE-2025-0520)が5年越しで実攻撃に 2020年に公開されたShowDocのCVSS9.4ファイルアップロード脆弱性が、2026年4月にVulnCheck Canariesのハニーポットで初の実悪用を確認。2,000以上の露出インスタンスが中国を中心に残存する。 セキュリティ CVE RCE ShowDoc 脆弱性
技術 2026年4月12日(日) 更新 約5分 Adobe Acrobat Reader、悪用中のゼロデイにパッチ配布(CVE-2026-34621 / APSB26-43) 2025年12月から悪用が続いていたAdobe Acrobat ReaderのプロトタイプPollution RCEに、2026年4月11日にパッチが配布された。CVSS 8.6、Priority 1。72時間以内の適用が推奨される。 セキュリティ Adobe 脆弱性 RCE PDF ゼロデイ パッチ
技術 2026年4月11日(土) 約12分 MarimoのCVSS 9.3 pre-auth RCEとAstralが公開したuvサプライチェーン防御 Python notebookのMarimoでCVSS 9.3の未認証RCEが悪用された事例と、uvとruffを開発するAstralが公開したCI/CDパイプライン保護・Trusted Publishing・Sigstore attestationの包括的なOSSセキュリティ対策を対比する。 Security Python CVE RCE サプライチェーン PyPI Sigstore
技術 2026年4月10日(金) 約5分 Adobe ReaderのゼロデイがPDF経由で4ヶ月間悪用、未パッチのままRCEが成立 2025年11月から活発に悪用されているAdobe Reader/Acrobatのゼロデイ。サンドボックスバイパスとRCEを2バグの組み合わせで実現し、最新版を含む全バージョンが影響を受ける。パッチ未提供。 セキュリティ Adobe 脆弱性 ゼロデイ PDF RCE
技術 2026年4月7日(火) 約6分 FlowiseのCustomMCPノードにCVSS 10.0のRCE脆弱性、12,000超のインスタンスが攻撃にさらされている AIエージェントビルダーFlowiseのCustomMCPノードにFunction()コンストラクタ経由の任意コード実行脆弱性CVE-2025-59528が見つかり、実際に悪用されている。12,000以上のインスタンスがインターネットに露出中。 セキュリティ CVE Flowise MCP RCE
技術 2026年3月31日(火) 約5分 OpenCodeに未認証RCEとXSS経由RCEの2件、220,000超のインスタンスが露出 オープンソースAIコーディングエージェント「OpenCode」にCVE-2026-22812(CVSS 8.8)とCVE-2026-22813(CVSS 9.4)が公開された。無認証HTTPサーバーとMarkdownレンダラーのXSSを経由してシェルコマンドが実行される。PoCが公開済みで、220,000超のインスタンスがネットに露出している。 セキュリティ CVE OpenCode RCE XSS AIエージェント
技術 2026年3月29日(日) 約4分 F5 BIG-IP APMの未認証RCEがCISA KEV入り、中国APTがF5侵害中に発見したCVE-2025-53521 F5 BIG-IP APMの未認証RCE脆弱性CVE-2025-53521(CVSS 9.8)がCISA KEVに追加された。元はDoSとして分類されていたが、F5のネットワークを侵害した中国系APTがソースコードを盗んで再分類した経緯を持つ。連邦機関の対応期限は2026年3月30日。 セキュリティ F5 BIG-IP CVE CISA RCE APT
